Säkerhetsarbete och GDPR, 3 frågor till säkerhetschefen Per Almberg

/Other/assa-se/om-assa/ASSA-nyhetsbrev/2018-2/gdpr-HD.jpg

Den 25 Maj 2018 träder den nya EU-förordningen GDPR (General Data Protection Regulation) om behandling av personuppgifter i kraft. Vad betyder det för säkerhetsarbetet i vardagen och hur skall man tänka? Vi fick tillfälle att ställa 3 frågor till vår säkerhetschef, Per Almberg, för att resonera omkring GDPR i förhållande till fysisk säkerhet.

Hur tycker du att man skall förhålla sig till GDPR i relation till fysisk säkerhet som säkerhetsansvarig i en organisation?

Man skall förhålla sig till GDPR som ett viktigt ansvar, ett legalt krav och att se det som en del i säkerhetsarbetet. Organisationer måste stärka sina säkerhetsåtgärder för att uppnå god informationssäkerhet, där GDPR är en del. Det handlar bl.a. om att vidta organisatoriska och tekniska åtgärder för att uppnå en lämplig säkerhetsnivå.

Fysisk säkerhet är grundläggande i säkerhetsarbetet, även när det handlar om att skydda information. Som organisation är det viktigt att känna till vilka säkerhets- och integritetsaspekter man behöver ta hänsyn till vid utformning av fysisk säkerhet. System för fysisk säkerhet bör ha vissa grundförutsättningar, t.ex. att:

–        Använda teknik för att främja skydd för personuppgifter

–        Rutiner och system för information och radering vid intrång

–        Rutiner och system för att skydda mot intrång.

Varför är/blir det viktigt?

För oss är det viktigt därför att det ger ett starkt budskap till våra intressenter att vi tar ansvar för de krav som ställs på oss och att vi inte accepterar avvikelser. Tillsammans har vi ett gemensamt intresse i att engagera oss i frågor om säkerhet och att se risker utifrån olika perspektiv.

Som ansvarig för fysisk säkerhet blir det naturligt att vara medveten för att kunna kravställa mot alla parter i säkerhetsarbetet, var sig det handlar om leverantörer av tekniska lösningar eller konsulttjänster.

 Ett väl fungerande säkerhetssystem är en kombination av de människor som arbetar inom verksamheten, de rutiner som finns till stöd i arbetet och olika tekniska säkerhetsåtgärder. Dessa delar ska sammantaget skydda mot de risker man har att förhålla sig till och klara av de krav man har på sig, oavsett om de stavas GDPR eller på annat sätt. Säkerhetssystemet ska heller inte störa verksamheten på ett omotiverat sätt utan vara i balans med den dagliga verksamheten. På så sätt underlättas hanteringen av skyddet av information och personlig integritet.

Vad tycker du är första steget i att försäkra sig om GDPR kompabilitet och fysisk säkerhet?

Till att börja med skall man se fysisk säkerhet som en del i allt säkerhetsarbete. Det blir tokigt när fysisk säkerhet ”bara” blir en fråga om komponenter vid dörrarna, utan en bakomliggande tanke.

För att veta vad man skall skydda är det viktigt att förstå vad som är skyddsvärt och vilka sårbarheterna är. Tillgångarna kan finnas inom och utanför verksamheten, i olika system, men även inrymmas i lokaler och utrymmen. I fallet med GDPR blir det otroligt viktigt att veta var informationen sparas för att förstå vart skydd och processer skall appliceras.

 Jag tycker också att det är viktigt att förstå sina risker för att veta hur man ska förhålla sig till dessa. Då blir säkerheten tillämpbar, ett stöd i vardagen och kostnadseffektiv.

Här kan du läsa mer om hur ASSAs olika produkter anpassas till GDPR.